【linux命令】error: audit:backlog limit exceeded

内容摘要
这种情况系统已经崩溃,先重启。注意重启后还可能会遇到只读的情况,首先了解下只读的原因。要求输入root密码继续那个界面有详细提示只读的原因。有可能是开启了selinux或者是
文章正文

这种情况系统已经崩溃,先重启。注意重启后还可能会遇到只读的情况,首先了解下只读的原因。要求输入root密码继续那个界面有详细提示只读的原因。有可能是开启了selinux或者是磁盘有坏道等原因导致,可以单用户进服务器后vi /etc/sysconfig/selinux 设置成disabled后重启服务器观察。同时建议重启后进行fsck修复。

解决方法:

audit 服务对所有的系统调用进行审计操作,

在配置文件中,排除audit.conf文件中,日志、磁盘空间等配置参数的性能瓶颈!

最终问题锁定在,audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈!

增加audit.rules 的-b 选项,8192kb,(此值,要根据系统buffer值,适当分配—考虑到其它应用对全系统buffer的使用)。

cat /etc/audit/audit.rules

修改audit参数,如下:

[[email protected] localhost]# auditctl -b 8192AUDIT_STATUS: enabled=1 flag=1 pid=6118 rate_limit=0 backlog_limit=8192 lost=0 backlog=1 

 

代码注释
[!--zhushi--]

作者:喵哥笔记

IDC笔记

学的不仅是技术,更是梦想!